![]() | Installation d'un NT sécurisé |
Cette page n'est plus maintenue. Les Pages
Questions / Réponses, Outils sont maintenant disponibles sur
http://fds.mvps.org
Objet : Proposer une démarche d'installation pour éviter de laisser de trop gros trous dans la sécurité NT.
Référence : Les outils indispensables pour NT
Liens : Le travail des autres et mon inspiration
Un travail très intéressant est disponible sur le site de Patrick Chambet :
Des articles complémentaires sont disponibles sur ce site, d'autres ont été publiés dans la revue MISC.
Sur le site du laboratoire SupInfo, il y'a un article sur la sécurité ou l'insécurité de la base SAM de Windows NT/2000. Après l'avoir lu, vous saurez un peu plus pourquoi il faut faire (ou ne pas faire confiance) à la sécurité de votre système.
Chez Microsoft :
La présentation des Nouveautés de la sécurité Windows Server 2003 que j'ai faite pour les Journées de la Sécurité (4/5/6 Mai 2004)
[WS] indique un paramétrage pour une WorkStation, [SVR] indique un paramètre intéressant sur un serveur.
S01 : Protection du fichier d'échange (pagefile.sys)[WS]
S02 : Quelques réflexions sur les virus...
S03 : Interdire a Windows Media Player de lancer des pages HTML contenant des scripts
S04 : Configuration de l'économiseur d'écran pour le compte admin
S05 : Définir une taille de mots de passe adaptée
S06 : Limiter l'accès physique aux machines sensibles
S07 : Utiliser des outils adaptés
S08 : Désactiver le LMHash
S09 : Comment sécuriser windows NT 4.0
S10 : Comment sécuriser windows XP
[ToutWindows
]
S99 : Fini pour le moment ?
Il est possible de demander au système de "nettoyer" ce fichier lors de l'arrêt du système en paramétrant la clé de registre suivante :
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown à la valeur 1
ou utilisez le fichier ClearPageFile.reg
Ce paramétrage n'évite pas que des données confidentielles persistent après un crash ou un arrêt brutal du système.
Voir : Virus
http://www.laboratoire-microsoft.org/tips/tips/366.asp
Voici les clés à positionner pour cela :
[HKEY_CURRENT_USER\Control Panel\Desktop] "ScreenSaveTimeOut"="7200" (valeur du timeout en secondes) "ScreenSaveActive"="1" (activation 1 ou désactivation 0) "ScreenSaverIsSecure"="0" (autorisation 1 ou blocage 0 du mot de passe) "SCRNSAVE.EXE"="C:\\WINNT\\System32\\WINEXIT.SCR" (chemin d'accès à l'écran de veille, ici winexit en exemple)
Vous pouvez aussi lire :
How can I force my clients to use a password protected screen saver?
www.jsiinc.com/SUBD/tip1900/rh1966.htm
How can I set a screen saver using system policy in Windows NT 4.0?
www.jsiinc.com/sube/tip2200/rh2296.htm
Sur les systèmes NT, la taille de 7 caractères est souvent conseillée. Pour des mots de passes plus sérieux vous pouvez aller jusqu'a 14 caractères sous NT ou le dépasser largement sous 2000 si vous en plus vous voulez interdire l'accès du compte à un système plus ancien.
Pour configurer la taille minimum du mot de passe voir chez Winguide :
Pour les systèmes 2000/XP, un mot de passe de plus de 14 caractères permet de désactiver le Haschage LM.
Il est tellement simple si on a accès à une machine de casser le mot de passe de l'administrateur.
Sans utiliser des outils complexes, sans tester tous les mots de passe, il suffit de remplacer le mot de passe inconnu par un connu.
La procédure est publique et bien expliquée sur le site de J.C. Bellamy :
Voir chez Microsoft la page sur la sécurité :
MBSA (Microsoft Baseline Security Analyser) : [MBSAhome] qui permet un suivit des Patch et de la sécurité du poste. La version 1.2.1 (support 2003 et XP SP2) est disponible
ou
.
HFNCheck (hfnetchk.asp).
Voir chez GFI :
D'autres outils gratuits et des FAQs : [grc.com/freepopular.htm ].
La boite à outils d'urgence : [dirk-loss.de/win-tools.htm ] en complément des outils de l'administrateur.
Les outils de vérification en ligne :
Scanner des ports : cnsc.ch
Pour tester les ports ouverts et valider la protection de son système : grc.com
Si vous n'avez plus de poste Windows 9x/Me qui utilisent encore cette authentification, débarrassez vous du stockage du LMHash. Pour cela :
Veuillez notez que les hash existants ne sont pas supprimé jusqu'au changement de tous les anciens mots de passe.
Il est aussi possible d'obtenir le même résultat en n'utilisant que des mots de passe de plus de 14 caractères.
Voici quelques liens sur des livres blancs et des procédures pour renforcer un ou des systèmes (même) Windows NT 4.0
Copyright ©1997-2010,
François Dunoyer, Dernière modification le